Держите диск зашифрованным до SSH

Question 1

То, о чем вы просите, невозможно. Чтобы войти в систему по SSH, она должна быть уже загружена, а чтобы загрузиться, она должна быть уже расшифрована. Это справедливо для любого зашифрованного устройства. Телефоны, компьютеры, планшеты — не имеет значения. Если устройство зашифровано, вы должны ввести ключ (часто пароль, PIN-код или шаблон) во время загрузки, чтобы расшифровать устройство и оно могло загрузиться. Как только вы введете свой пароль для расшифровки, ваши данные будут в расшифрованном состоянии. Следует предположить, что любой, кто имеет доступ к системе в этот момент, имеет доступ к данным в расшифрованном состоянии.

Answer

То, о чем вы просите, невозможно. Чтобы войти в систему по SSH, она должна быть уже загружена, а чтобы загрузиться, она должна быть уже расшифрована. Это справедливо для любого зашифрованного устройства. Телефоны, компьютеры, планшеты — не имеет значения. Если устройство зашифровано, вы должны ввести ключ (часто пароль, PIN-код или шаблон) во время загрузки, чтобы расшифровать устройство и оно могло загрузиться. Как только вы введете свой пароль для расшифровки, ваши данные будут в расшифрованном состоянии. Следует предположить, что любой, кто имеет доступ к системе в этот момент, имеет доступ к данным в расшифрованном состоянии.

Question 2

Это возможно в initramfs, чтобы иметь ssh-сервер заранее, но эта небольшая часть не будет зашифрована. Вы не ошиблись в своих мыслях, в конце концов, есть некое программное обеспечение, запрашивающее у вас ваш ключ дешифрования. Проект dropbear-initramfs может предоставить ssh до монтирования вашей зашифрованной корневой файловой системы для загрузки. Я не знаю готового решения, но safeboot.dev довольно близок, так что если вы опытный, возможно, вы сможете заставить это работать на железе.
Ваш вариант использования для предотвращения слежки Amazon или других поставщиков облачных услуг на самом деле не будет остановлен этим. Аппаратное обеспечение существует, но программное обеспечение догоняет, чтобы обеспечить безопасные анклавы, где ваш поставщик облачных услуг не может видеть ваши данные в состоянии покоя, в памяти или даже в процессе обработки благодаря достижениям в области ЦП и гомоморфного шифрования. См. проект Golem. В настоящее время это ПОКА невозможно, но скоро станет возможным: «Все процессы на жестком диске будут работать в зашифрованном виде». Однако технически вы можете выполнить dropbear SSH перед расшифровкой корневой файловой системы, если вы сможете понять, как это реализовать.

Answer

Это возможно в initramfs, чтобы иметь ssh-сервер заранее, но эта небольшая часть не будет зашифрована. Вы не ошиблись в своих мыслях, в конце концов, есть некое программное обеспечение, запрашивающее у вас ваш ключ дешифрования. Проект dropbear-initramfs может предоставить ssh до монтирования вашей зашифрованной корневой файловой системы для загрузки. Я не знаю готового решения, но safeboot.dev довольно близок, так что если вы опытный, возможно, вы сможете заставить это работать на железе.
Ваш вариант использования для предотвращения слежки Amazon или других поставщиков облачных услуг на самом деле не будет остановлен этим. Аппаратное обеспечение существует, но программное обеспечение догоняет, чтобы обеспечить безопасные анклавы, где ваш поставщик облачных услуг не может видеть ваши данные в состоянии покоя, в памяти или даже в процессе обработки благодаря достижениям в области ЦП и гомоморфного шифрования. См. проект Golem. В настоящее время это ПОКА невозможно, но скоро станет возможным: «Все процессы на жестком диске будут работать в зашифрованном виде». Однако технически вы можете выполнить dropbear SSH перед расшифровкой корневой файловой системы, если вы сможете понять, как это реализовать.

Держите диск зашифрованным до SSH

решение1

решение2

Связанный контент